Benvido á lección 8. A lección é moi importante, porque... Ao rematar, poderás configurar o acceso a Internet para os teus usuarios. Debo recoñecer que moitas persoas deixan de instalarse neste momento 🙂 Pero nós non somos un deles! E aínda temos moitas cousas interesantes por diante. E agora toca o tema da nosa lección.
Como probablemente xa adiviñaches, hoxe falaremos de NAT. Estou seguro de que todos os que vexan esta lección saben o que é NAT. Polo tanto, non imos describir en detalle como funciona. Repetirei unha vez máis que NAT é unha tecnoloxía de tradución de enderezos que se inventou para aforrar "diñeiro branco", é dicir. IP públicas (aqueles enderezos que se encamiñan en Internet).
Na lección anterior, probablemente xa notaches que NAT forma parte da política de control de acceso. Isto é bastante lóxico. En SmartConsole, a configuración de NAT colócase nunha pestana separada. Seguro que hoxe miraremos alí. En xeral, nesta lección discutiremos os tipos de NAT, configuraremos o acceso a Internet e analizaremos o exemplo clásico de reenvío de portos. Eses. a funcionalidade que máis se utiliza nas empresas. Imos comezar.
Dúas formas de configurar NAT
Check Point admite dúas formas de configurar NAT: NAT automático и Manual NAT. Ademais, para cada un destes métodos hai dous tipos de tradución: Ocultar NAT и NAT estático. En xeral, parece esta imaxe:
Entendo que o máis probable é que agora todo pareza moi complicado, así que vexamos cada tipo cun pouco máis de detalle.
NAT automático
Este é o xeito máis rápido e sinxelo. A configuración de NAT faise en só dous clics. Todo o que tes que facer é abrir as propiedades do obxecto desexado (xa sexa pasarela, rede, host, etc.), ir á pestana NAT e marcar o "Engade regras de tradución automática de enderezos" Aquí verás o campo - o método de tradución. Hai, como se mencionou anteriormente, dous deles.
1. Aitomatic Hide NAT
Por defecto é Ocultar. Eses. neste caso, a nosa rede "agocharase" detrás dalgún enderezo IP público. Neste caso, o enderezo pódese tomar da interface externa da pasarela ou pode especificar outro. Este tipo de NAT denomínase a miúdo dinámico ou moitos a un, porque Varios enderezos internos tradúcense a un externo. Por suposto, isto é posible empregando diferentes portos ao emitir. Ocultar NAT só funciona nunha dirección (de dentro a fóra) e é ideal para redes locais cando só precisa proporcionar acceso a Internet. Se o tráfico se inicia desde unha rede externa, NAT naturalmente non funcionará. Resulta ser unha protección adicional para as redes internas.
2. NAT estático automático
Ocultar NAT é bo para todos, pero quizais necesites proporcionar acceso desde unha rede externa a algún servidor interno. Por exemplo, a un servidor DMZ, como no noso exemplo. Neste caso, o NAT estático pode axudarnos. Tamén é bastante sinxelo de configurar. Basta con cambiar o método de tradución a Estático nas propiedades do obxecto e especificar o enderezo IP público que se utilizará para NAT (ver a imaxe superior). Eses. se alguén da rede externa accede a este enderezo (en calquera porto!), entón a solicitude enviarase a un servidor cunha IP interna. Ademais, se o propio servidor se conecta, a súa IP tamén cambiará ao enderezo que especificamos. Eses. Este é NAT en ambas direccións. Tamén se chama un a un e ás veces usado para servidores públicos. Por que "ás veces"? Porque ten un gran inconveniente: o enderezo IP público está completamente ocupado (todos os portos). Non pode usar un enderezo público para distintos servidores internos (con portos diferentes). Por exemplo, HTTP, FTP, SSH, SMTP, etc. O NAT manual pode resolver este problema.
Manual NAT
A peculiaridade de Manual NAT é que cómpre crear regras de tradución vostede mesmo. Na mesma pestana NAT en Política de control de acceso. Ao mesmo tempo, Manual NAT permítelle crear regras de tradución máis complexas. Tes dispoñibles os seguintes campos: Orixe orixinal, Destino orixinal, Servizos orixinais, Orixe traducida, Destino traducido, Servizos traducidos.
Tamén hai dous tipos de NAT posibles aquí: Ocultar e Estático.
1. Manual Ocultar NAT
Ocultar NAT neste caso pódese usar en diferentes situacións. Un par de exemplos:
- Ao acceder a un recurso específico desde a rede local, quere utilizar un enderezo de difusión diferente (diferente do que se usa para todos os demais casos).
- Hai un gran número de ordenadores na rede local. A ocultación automática de NAT non funcionará aquí porque... Con esta configuración, é posible establecer só un enderezo IP público, detrás do cal os ordenadores se "ocultarán". Pode que simplemente non haxa portos suficientes para transmitir. Hai, como lembrades, algo máis de 65 mil. Ademais, cada ordenador pode xerar centos de sesións. Ocultar manualmente NAT permítelle establecer un conxunto de enderezos IP públicos no campo Fonte traducida. Aumentando así o número de posibles traducións NAT.
2.Manual NAT estático
O NAT estático úsase moito máis a miúdo cando se crean manualmente regras de tradución. Un exemplo clásico é o reenvío de portos. O caso no que se accede a un enderezo IP público (que pode pertencer a unha pasarela) desde unha rede externa nun porto específico e a solicitude se traduce a un recurso interno. No noso traballo de laboratorio, reenviaremos o porto 80 ao servidor DMZ.
Video lección
Estade atentos a máis e únete a nós 🙂
Fonte: www.habr.com